Ken je code rood nog? Niet die uit de film: A Few Good Men! De Code Red die op 15 juli 2001 het internet op beruchte wijze teisterde. De omvang van de verstoring die deze computerworm veroorzaakte, was zo groot dat Microsoft ertoe aanzette softwarekwetsbaarheden te patchen. Vóór Code Red draaide patchbeheer helemaal om IT, niet om cyberbeveiliging. Ondertussen zetten computerwormen hun aanvallen voort. Eindelijk, in mei 2017, kwam de beruchte ransomware-cryptoworm: WannaCry. Het heeft zeker veel problemen veroorzaakt voor de beveiligings- en IT-teams van Microsoft. Het heeft organisaties er ook van bewust gemaakt dat patchbeheer niet alleen een proces is dat je moet hebben, maar een absolute noodzaak!
Naarmate de technologie en de economie groeiden, werden kleine supermarkten supermarkten en nu hypermarkten. Marketing-, verkoop- en klantsuccesspecialisten gingen van personalisatie naar hyperpersonalisatie. Het volgende hoofdstuk in patchbeheer voor elke organisatie is dus eenvoudig: automatisering, liever gezegd: hyperautomatisering.
Patchbeheer: de huidige stand van zaken
Het lijdt geen twijfel dat OS-makers hebben geleerd van eerdere aanvallen op ondernemingsniveau en zich hebben ontwikkeld. Maar de dreigingsactoren zijn tegenwoordig ook geëvolueerd en 24*7 in rep en roer. Ze voeden zich met kwetsbaarheden in software en apps. Geef ze een centimeter en ze maken een mijl. Geloof het of niet, SaaS-mensen, er zijn operaties gaande als cybercrime-as-a-service en ransomware-as-a-service.
De huidige staat van patch beheer zoals de meeste CIO's het erover eens zijn, draait het om risicoanalyse. Beveiligingsteams analyseren kwetsbaarheden in besturingssystemen en apps en geven er prioriteit aan. IT-teams implementeren patches om deze kwetsbaarheden of bugs op te lossen. Tenzij deze risico's vooraf worden geprioriteerd en gecommuniceerd, zal uw IT terughoudend zijn met het implementeren van patches.
Momenteel is het grootste pijnpunt voor IT-teams bij het proactief uitgeven van patches de beschikbaarheid en het reactievermogen van apparaten. Dus als er geen rode waarschuwing is voor een bepaalde patch, zullen IT-teams deze niet naar apparaten pushen. En ze hebben een sterk argument: apparaatuitval. De laptop van uw verkoper die midden in een belangrijke vergaderingspresentatie zit, kan bijvoorbeeld niet plotseling de melding 'Apparaat bijwerken, even geduld a.u.b.' weergeven. Dit is ongeveer wat er in de meeste organisaties gebeurt. Het is een schommel tussen apparaatuitval en apparaatbeveiliging. Evenwicht is niet eenvoudig te bereiken. Dan komt het rekenwerk – de waarschijnlijkheidsmix van kwetsbaarheden – omdat niet alle kwetsbaarheden ernstige gevolgen hebben voor de exploitatie door bedreigingsactoren.
Bedreigingsactoren sluipen rond het zojuist genoemde evenwicht. Beveiligingsprofessionals over de hele wereld zijn op de hoogte van ransomwarebedreigingen. Er zijn ransomware-as-a-service (laten we zeggen RaaS) bendes zoals Conti op jacht op internet. Cybercriminelen zijn dol op de gaten of silo's die binnen uw IT- en beveiligingsafdelingen kunnen sluipen. In september 2021 concludeerde een gezamenlijk initiatief van de FBI en de CISA dat Conti RaaS leidde tot meer dan 400 aanvallen op mondiale en Amerikaanse organisaties.
De huidige stand van zaken op het gebied van patchbeheer zal in de toekomst mogelijk geen stand houden. IT- en cyberbeveiligingsteams hebben betere samenwerking nodig, omdat alleen op prioriteiten gebaseerde risicoanalyse voor patchupdates de komende jaren niet voldoende zal zijn.
De weg vooruit in kaart brengen
Het verslaan van de meedogenloze aanpak van RaaS-spelers als Conti en andere individuele bedreigingsactoren is geen wandeling in het park. IT- en cyberbeveiligingsteams in organisaties moeten nauwer met elkaar verbonden zijn dan ooit tevoren. Hun gemeenschappelijke agenda moet het bestrijden van aanvallen zijn. Het verkorten van de tijd om apparaten te patchen moet bovenaan hun prioriteitenlijst staan. Wanneer aanvallers niet voldoende tijd hebben om kwetsbaarheden te misbruiken, is de kans groot dat ze het opgeven en afstand nemen van het aanvallen van uw organisatie.
De evenwichtsoefening tussen de downtime van apparaten en het verkorten van de patchtijd, terwijl de beveiliging van apparaten voorop moet blijven staan, moet worden geperfectioneerd. Zoals eerder vermeld, kunnen niet alle kwetsbaarheden worden misbruikt; slechts 10% van hen is dat. Dit laat zien dat het niet raadzaam is om elk klein stukje te achtervolgen. Ondertussen betekent het ook niet dat de overige 90% genegeerd moet worden, maar ze kunnen wel wachten. De risicoanalyse moet de context en impact van dreigingen duidelijk in kaart brengen. Het verkrijgen van inzicht in patches en gerelateerde kwetsbaarheden is absoluut noodzakelijk om te beseffen welke bewapend, vatbaar voor RaaS en exploiteerbaar zijn.
De juiste mix van patchinzichten en risicoanalyse van kwetsbaarheden is van cruciaal belang voor het prioriteren van patchbeheer op basis van de schadevooruitzichten van bedreigingen.
De toekomst in met hyperautomatisering
In de komende vijf tot tien jaar zou het patchbeheer zich op twee aspecten concentreren: de beste cyberbeveiligingspraktijken en de ontwikkeling van veilige codes. Codes moeten in de ontwikkelingsfase worden gecontroleerd op beveiligingsproblemen en niet zodra ze zich verderop in de app of software bevinden. Dit zal essentieel zijn voor de uitvaltijd van het apparaat en patch-tijdbalans waar we het eerder over hadden.
Niet-gepatchte, exploiteerbare kwetsbaarheden zijn de voornaamste oorzaak van de meeste datalekken of ransomware die systemen en apparaten binnensluipt. Het simpelweg automatiseren van patch-inzichten of intelligentie zou in de komende tijd niet voldoende zijn. Waarom? Er zijn sterke redenen. Ten eerste blijven modellen voor werken op afstand en hybride werken zelfs in de post-pandemische wereld een succes. Om dergelijke modellen te ondersteunen zullen steeds meer organisaties cloudgebaseerde activiteiten blijven adopteren. IT-teams vinden patchbeheer al complex en gezien het werken op afstand/hybride en de snelle verschuiving naar de cloud wordt deze complexiteit in de toekomst niet eenvoudiger.
Het antwoord op alle patchbeheer- en procesuitdagingen ligt in het volgende niveau van automatisering: hyperautomatisering. De meeste Unified Endpoint Management (UEM)-oplossingen bieden tegenwoordig geautomatiseerd patchbeheer maar zelfs zij zouden in de toekomst snel moeten overstappen op hyperautomatisering. Het is tijd dat IT- en beveiligingsteams proactiever worden en realtime kwetsbaarheden voorspellen. De dreigingsanalyse moet naar een hoger niveau worden getild om risicopatronen van patches te detecteren, te begrijpen en erop te reageren. Dat is de enige haalbare optie om synchroon te blijven met de complexe operationele patronen van bedreigingsactoren. Menselijk ingrijpen moet zoveel mogelijk worden geminimaliseerd. Natuurlijk zal er in de laatste fase een element van op mensen gebaseerde arbitrage zijn. Het hele scenario klinkt misschien overweldigend, maar organisaties moeten een manier vinden om hyperautomatisering van patchbeheer te realiseren met behulp van UEM.
Pad naar hyperautomatisering
Dus hoe zorgt een CIO/CISO/CSO ervoor dat hyperautomatisering een integraal onderdeel wordt van patchbeheer in een organisatie? Het huidige risicogebaseerde patchmanagement kwam vanaf 2018 in beeld. Ja, dat is een jaar na WannaCry (2017). Terwijl risicoanalyse en patch-intelligentie tegenwoordig kunnen worden geautomatiseerd via a UEM-oplossingWachten organisaties op een nieuwe grootschalige aanval voordat ze overgaan op hyperautomatisering? Willen ze dat Conti hard toeslaat? Geen recht? We moeten de hele UEM-ruimte nauwlettend in de gaten houden voor ontwikkelingen en innovaties op het gebied van patchbeheer. En innovaties zouden de sleutel zijn tot het adopteren van hyperautomatisering.
Het innovatieve pad naar hypergeautomatiseerd patchbeheer begint met het inbedden van meer op code gebaseerde beveiligingscontroles in software, inclusief beveiligings-, ontwikkelaars- en beleidscodes. Dezelfde op code gebaseerde controle zal van toepassing zijn op patches, blootstelling en kwetsbaarheden. Simpel gezegd draait het bij patch-hyperautomatisering om inclusieve en ingebedde codering.
Het sluiten
De varianten van Code Red en WannaCry zullen aanvallen op de bedrijfsbeveiliging blijven bestormen en RaaS-bendes zoals Conti zullen hun weg naar systemen blijven vinden. Niettemin heeft de toekomst 'Een paar goede mannen' nodig en zal dat altijd blijven bestaan.
De enige manier om ons te verdedigen tegen dreigingsactoren is door hen een stap voor te blijven en mee te bewegen met de innovatiegetijden. Automatisering van het scannen en analyseren van kwetsbaarheden zal de basis leggen voor hypergeautomatiseerd patchbeheer. De evolutie van UEM zal ook een sleutelfactor zijn voor hyperautomatisering van patchbeheer. Hoe complex de toekomst van patching ook mag lijken, IT- en cyberbeveiligingsteams moeten zich verenigen om de overstap naar hyperautomatisering werkelijkheid te maken. uniform eindpuntbeheer zal in die toekomst een belangrijke rol spelen.
Scalefusion UEM biedt OS-patchbeheer voor Windows. Meld u aan voor een gratis proefperiode van 14 dagen voor meer informatie en plan een demo.
